Spring Security logout

@Huge · Регистрация: 26.01.2016

Студворк — интернет-сервис помощи студентам

Как задать вылогинивание с сайта через определенное время, точнее обратил внимание, что меня с сайта, если не активный вылогинивает примерно через 15-20мин, сначала пытался написать фильтр, но он не сработал вот SecurityConfiguration:

Кликните здесь для просмотра всего текста

Java
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
@Configuration
@EnableWebSecurity
public class SecurityConfiguration extends WebSecurityConfigurerAdapter {
 
    @Autowired
    private UserDetailsService userDetailsService;
 
    @Autowired
    private UserRepository userRepository;
 
    @Autowired
    private DataSource dataSource;
 
    @Override
        protected void configure(final HttpSecurity httpSecurity) throws Exception {
            httpSecurity
                    .authorizeRequests()
                    .antMatchers(HttpMethod.GET, "/registration")
                    .permitAll()
                    .antMatchers(HttpMethod.POST, "/registration")
                    .permitAll()
                    .antMatchers("/css/**", "/js/**", "/img/**")
                    .permitAll()               
                    .antMatchers("/warehouseWhisky")
                    .permitAll()
                    .antMatchers("/buySelectedWhisky**")
                    .permitAll()
                     .and()
                    .formLogin()
                    .loginPage("/login")
                    .defaultSuccessUrl("/")
                    .passwordParameter("password")
                    .permitAll()
                    
                    .and().logout().logoutSuccessUrl("/")
                    .and()
                    .httpBasic()
                    .and()
                    .csrf().disable();
 
                httpSecurity.rememberMe().rememberMeParameter("remember-me")
                .rememberMeCookieName("my-remember-me")
                .tokenRepository(persistentTokenRepository()).tokenValiditySeconds(86400000);
 
 
//            httpSecurity.addFilterBefore(authenticationFilter(), UsernamePasswordAuthenticationFilter.class); 
        }
 
        @Autowired
        public void configureGlobal(AuthenticationManagerBuilder auth) throws Exception {
 
            auth.userDetailsService(userDetailsService).passwordEncoder(passwordEncoder());
        }
 
        @Bean
        public PasswordEncoder passwordEncoder() {
            return new MyPasswordEncoder();
        }
 
 
//    public IsAccountNonExpiredFilter authenticationFilter() throws Exception {
//        IsAccountNonExpiredFilter authFilter = new IsAccountNonExpiredFilter();
//        authFilter.setRequiresAuthenticationRequestMatcher(new AntPathRequestMatcher("/login","POST"));
//
//        authFilter.setAuthenticationManager(super.authenticationManager());
//        authFilter.setAuthenticationSuccessHandler(new SimpleUrlAuthenticationSuccessHandler("/"));
//        authFilter.setAuthenticationFailureHandler(new SimpleUrlAuthenticationFailureHandler("/login?error"));
//        authFilter.setUsernameParameter("username");
//        authFilter.setPasswordParameter("password");
//        authFilter.setUserRepository(userRepository);
//        return authFilter;
//    }
 
    @Bean
    public PersistentTokenRepository persistentTokenRepository() {
        JdbcTokenRepositoryImpl tokenRepository = new JdbcTokenRepositoryImpl();
        tokenRepository.setDataSource(dataSource);
        return tokenRepository;
    }
 
}

Пробовал задать httpSecurity.addFilterBefore(authenticat ionFilter(), UsernamePasswordAuthenticationFilter.cla ss);
и прописать его так:

Кликните здесь для просмотра всего текста

Java
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
@Component
public class CompareSessionFilter  implements Filter {
 
 
    @Override
    public void init(FilterConfig filterConfig) throws ServletException {
 
    }
 
   @Override
    public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain)
            throws IOException, ServletException {
 
        boolean isLoggedOut = false;
        try {
 
            Authentication authentication = SecurityContextHolder.getContext().getAuthentication();
 
            if (authentication.getPrincipal() instanceof UsersModel) {
 
                Date now = new Date();
                UsersModel user = (UsersModel) authentication.getPrincipal();
 
                if (user.getLastActive()!=null && (now.getTime()-user.getLastActive().getTime()) > 86400000) {
 
                    new SecurityContextLogoutHandler().logout((HttpServletRequest)servletRequest,
                            (HttpServletResponse) servletResponse, authentication);
                    ((HttpServletResponse)servletResponse).sendRedirect("/login");
                    isLoggedOut = true;
                } else {
                    user.setLastActive(now);
                }
 
            }
 
        }
        finally {
            if (isLoggedOut==false) {
                filterChain.doFilter(servletRequest, servletResponse);
            }
        }
 
    }
 
    @Override
    public void destroy() {
 
    }
}

Но ничего не вышло вылогинивает до выполнения этого кода. Пробовал добавить такие строки в application.properties

Java
1
2
session.timeout.interval = 350000000
session.setMaxInactiveInterval = (60*60*24)

и добавил в form

HTML5
1
2
<form th:action="@{/login}" method="post"
      authentication-success-handler-ref="authenticationSuccessHandler">

Но этот вариант найденный в инете тоже ничего не дал

@LeX · 04.10.2016, 22:09

spring boot или обычный war?

@Huge · 05.10.2016, 06:12 **[ТС]**

spring boot

Любопытный · 05.10.2016, 08:19

Huge, контейнер может неактивную сессию разорвать по таймауту.
Пример для томкета http://stackoverflow.com/quest... plications

По дефолту там около 30м.

@LeX · 05.10.2016, 09:22

Сообщение от Huge

spring boot

в application.properties:
server.session.timeout = <значение>

Добавлено через 55 секунд

Сообщение от Любопытный

Huge, контейнер может неактивную сессию разорвать по таймауту.
Пример для томкета http://stackoverflow.com/quest... plications
По дефолту там около 30м.

у spring boot встроенный сервер, поэтому у него нет папки с томкатом

@Huge · 05.10.2016, 14:30 **[ТС]**

просто нереал, на stack ответ так не дали.

@KEKCoGEN · 05.10.2016, 17:52

Huge, на SO полно ответов на эту тему. Вы просто плохо искали. Так же всегда хорошо смотреть в офф. Доки. Вот тут есть возможные проперти спринг бута.
http://docs.spring.io/spring-b... rties.html

Любопытный · 06.10.2016, 09:10

Сообщение от LeX BB

у spring boot встроенный сервер, поэтому у него нет папки с томкатом

Бут не эквивалентен встроенному контейнеру, это одна из его возможностей, которую можно подключить.
Автор не писал что использует встроенный контейнер.
Даже если он использует, то таймаут по дефолту берется из дефолтного таймаута контейнера.

Java
1
server.connection-timeout = value

When not set, the connector's container-specific default will be used.

@LeX · 06.10.2016, 09:18

Сообщение от Любопытный

Бут не эквивалентен встроенному контейнеру, это одна из его возможностей, которую можно подключить.

wat???

Сообщение от Любопытный

Автор не писал что использует встроенный контейнер.

поэтому я спросил, используется ли spring boot

Сообщение от Любопытный

Даже если он использует, то таймаут по дефолту берется из дефолтного таймаута контейнера.

Java
1
server.connection-timeout = value

wat?wat?wat?????
какой таймаут контейнера? ты первое предложение из комментария в доке прочитал? или у тебя с английским плохо? или же с понимание что это значит?
объясню:

Time in milliseconds that connectors will wait for another HTTP request before closing the connection

это таймаут соединения, т.е. через какое время разорвать коннект. это совершенно другая величина, нежели таймаут сессии

@Huge · 06.10.2016, 09:48 **[ТС]**

этой ссылки не знал забил себе в избранное

Любопытный · 06.10.2016, 10:53

Сообщение от LeX BB

wat???

Сообщение от LeX BB

поэтому я спросил, используется ли spring boot

Для использования встроенного контейнера его нужно включить в зависимости.
Изначально бут предоставляет автоконфигурацию, и без наличия соответсующих
файлов в класспасе конфигурации встроенного контейнера не произойдет.

Сообщение от LeX BB

spring boot или обычный war?

Поэтому отношение или-или не корректно, так как может использоваться spring boot,
проект упаковываться в варник и деплоиться на внешнем сервере.

Насчет коннекшен-таймаута согласен, это моя ошибка.

Для встроенного контейнера должно хватить проперти server.session.timeout
Для внешнего - то что я описал выше.
При том, этот параметр устанавливает значение для таймаута "не раньше чем".
То есть, если ТС проверяет работу таймаута установив 5 секунд, то таймаут может пройти в течении последующей минуты.

@LeX · 07.10.2016, 13:47

Сообщение от Любопытный

Для использования встроенного контейнера его нужно включить в зависимости.

томкат идет по дефолту. без embedded сервера boot приложение не запустится

@KEKCoGEN · 07.10.2016, 14:14

Сообщение от LeX BB

без embedded сервера boot приложение не запустится

это не так. Спринг бут без проблем запускается как обычное консольное приложение (не веб)

@LeX · 08.10.2016, 03:33

Ну ок, не буду спорить. Не использовал

Добавлено через 1 минуту
А, точно. starter-web же вроде подключается. У него по умолчанию tomcat

Новые блоги и статьи Все статьи Все блоги /
PhpStorm 2025.3: WSL Terminal всегда стартует в ~ and_y87 14.12.2025 PhpStorm 2025. 3: WSL Terminal всегда стартует в ~ (home), игнорируя директорию проекта Симптом: После обновления до PhpStorm 2025. 3 встроенный терминал WSL открывается в домашней директории. . .	Access VikBal 11.12.2025 Помогите пожалуйста !! Как объединить 2 одинаковые БД Access с разными данными.	Новый ноутбук volvo 07.12.2025 Всем привет. По скидке в "черную пятницу" взял себе новый ноутбук Lenovo ThinkBook 16 G7 на Амазоне: Ryzen 5 7533HS 64 Gb DDR5 1Tb NVMe 16" Full HD Display Win11 Pro	Музыка, написанная Искусственным Интеллектом volvo 04.12.2025 Всем привет. Некоторое время назад меня заинтересовало, что уже умеет ИИ в плане написания музыки для песен, и, собственно, исполнения этих самых песен. Стихов у нас много, уже вышли 4 книги, еще 3. . .	От async/await к виртуальным потокам в Python IndentationError 23.11.2025 Армин Ронахер поставил под сомнение async/ await. Создатель Flask заявляет: цветные функции - провал, виртуальные потоки - решение. Не threading-динозавры, а новое поколение лёгких потоков. Откат?. . .
Поиск "дружественных имён" СОМ портов Argus19 22.11.2025 Поиск "дружественных имён" СОМ портов На странице: https:/ / norseev. ru/ 2018/ 01/ 04/ comportlist_windows/ нашёл схожую тему. Там приведён код на С++, который показывает только имена СОМ портов, типа,. . .	Сколько Государство потратило денег на меня, обеспечивая инсулином. Programma_Boinc 20.11.2025 Сколько Государство потратило денег на меня, обеспечивая инсулином. Вот решила сделать интересный приблизительный подсчет, сколько государство потратило на меня денег на покупку инсулинов. . . .	Ломающие изменения в C#.NStar Alpha Etyuhibosecyu 20.11.2025 Уже можно не только тестировать, но и пользоваться C#. NStar - писать оконные приложения, содержащие надписи, кнопки, текстовые поля и даже изображения, например, моя игра "Три в ряд" написана на этом. . .	Мысли в слух kumehtar 18.11.2025 Кстати, совсем недавно имел разговор на тему медитаций с людьми. И обнаружил, что они вообще не понимают что такое медитация и зачем она нужна. Самые базовые вещи. Для них это - когда просто люди. . .	Создание Single Page Application на фреймах krapotkin 16.11.2025 Статья исключительно для начинающих. Подходы оригинальностью не блещут. В век Веб все очень привыкли к дизайну Single-Page-Application . Быстренько разберем подход "на фреймах". Мы делаем одну. . .

@LeX 378 / 370 / 114 Регистрация: 30.06.2010 Сообщений: 1,445
	04.10.2016, 22:09
	spring boot или обычный war? 0

@Huge 3 / 3 / 14 Регистрация: 26.01.2016 Сообщений: 481
	05.10.2016, 06:12 [ТС]
	spring boot 0

Любопытный 149 / 162 / 48 Регистрация: 19.10.2012 Сообщений: 530
	05.10.2016, 08:19
	Huge, контейнер может неактивную сессию разорвать по таймауту. Пример для томкета http://stackoverflow.com/quest... plications По дефолту там около 30м. 0

@Huge 3 / 3 / 14 Регистрация: 26.01.2016 Сообщений: 481
	05.10.2016, 14:30 [ТС]
	просто нереал, на stack ответ так не дали. 0

@KEKCoGEN 2399 / 2224 / 565 Регистрация: 28.12.2010 Сообщений: 8,672
	05.10.2016, 17:52
	Huge, на SO полно ответов на эту тему. Вы просто плохо искали. Так же всегда хорошо смотреть в офф. Доки. Вот тут есть возможные проперти спринг бута. http://docs.spring.io/spring-b... rties.html 0

@Huge 3 / 3 / 14 Регистрация: 26.01.2016 Сообщений: 481
	06.10.2016, 09:48 [ТС]
	этой ссылки не знал забил себе в избранное 0

@LeX 378 / 370 / 114 Регистрация: 30.06.2010 Сообщений: 1,445
	08.10.2016, 03:33
	Ну ок, не буду спорить. Не использовал Добавлено через 1 минуту А, точно. starter-web же вроде подключается. У него по умолчанию tomcat 0

Spring Security logout

Решение